【安全通告】Apache Solr任意文件删除漏洞风险通告
摘要:
尊敬的腾讯云用户,您好!
近日,腾讯云安全运营中心监测到,Apache Solr被披露出任意文件删除漏洞,可造成任意删除服务器上的文件等危害。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
Apache Solr是一个企业级开源搜索服务引擎,使用 Java 语言开发,主要基于 HTTP 和 Apache Lucene 实现。
据描述,该漏洞影响当前Apache Solr全部版本,通常情况下,solr在默认安装后即为未授权访问状态,用户使用时容易忽略身份校验。该漏洞存在于一个默认安装配置的RequestHandler中。可导致任意删除服务器上的文件等危害。
风险等级
高
漏洞风险
攻击者可利用该漏洞删除任意文件
影响版本
Apache Solr < = 8.8.2
安全版本
官方暂未发布安全版本
修复建议
目前官方暂未发布安全版本及补丁,
临时缓解措施:
可通过禁止Apache Solr在公网开放,并配置Solr身份校验,来临时规避此漏洞
【备注】:建议您在升级前做好数据备份工作,测试并评估业务运行状况,避免出现意外
漏洞参考